Je trouve ça embêtant qu’un module (externe ou pas) puisse requêter un serveur privé sans que ça soit clairement affiché.
Il y a des contres exemples dans les 2 sens qui semblent « logiques » (collecte de données de société, stripe, email, rapprochement bancaire, etc…)
MAIS…
Dans le principe, ça permettrait à n’importe qui de récupérer des infos de l’Install finale (au moins son ip, sinon plus…) @eldy ça a été relevé, ça, dans les failles testées par l’asso ? ou c’est encadré lors de la publication d’un module sur le store ? ou dans le modbuilder lui même ?
Vous en pensez quoi vous ? (n’importe qui peut répondre hein, pas seulement les premiers intervenants du post cité)
Il n’y a rien de spécifier car pour toute activité, le respect de la loi est toujours une contrainte implicite.
Un module peut en effet techniquement récupérer des données de l’utilisateur et les envoyer à un tiers sans le consentement de cet utilisateur. Ceci est vrai avec tout logiciel, plugin qu’un utilisateur install sur un ordinateur de bureau, ou un serveur ou même Mais c’est juste illégal.
Si un tel cas était identifié, nous pourrons désactiver le module sans sommation.
Nous n’avons encore jamais eu le cas mais un warning pourrait etre ajouté dans la page d’install de module Dolibarr pour sensibiliser.
Ou une case à cocher/paramètre divers etc… à mettre en place, c’est justement vers ça que je vais me diriger pour les futurs modules que je vais proposer sur le Dolistore, mais je pense qu’effectivement il serait souhaitable que soit dans la fiche du Dolistore soit lors de l’installation/configuration il y ait quelque part un avertissement clair.
Comme j’ai un peu été à l’initiative de ce message, je me permet de préciser certaines choses.
Il existe sur l’ensemble de mes modules une fonction de contrôle de version amélioré qui va vérifier si il n’existe pas une nouvelle version du module disponible ou si l’on possède une version pilote (pas encore disponible au téléchargement).
Preuve que cette fonctionnalité est utilisée par mes clients, la mise à jour du module Equipement dans sa version béta sur mon environnement de démo a déclenché une alerte à de nombreux utilisateurs qui m’ont contacté ne trouvant pas encore cette version à la mise à jour…
Cette fonction ne collecte pas d’infos, juste en récupère et est naturellement désactivable.
Maintenant que j’ai précisé cela mon avis sur le sujet.
L’ensemble des modules diffusés sur le Dolistore est open source et il est donc théoriquement possible de vérifier si ce genre de chose n’est pas présent dans le code du module (même si je suis réaliste sur le fait que peu de personnes font du reverse ingeniering sur les modules qu’ils achètent).
Il y a ensuite une réelle différence entre collecter des d’infos sur le dolibarr d’un utilisateur et l’utilisation d’une api externe (Et au passage, des modules comme stripe et paypal ne transmettent-elles pas des infos sur leur lieu d’installation?)
Au delà de la légalité, il me semble que la question est plus de la responsabilité de l’association et du Dolistore si ce genre de module y était commercialisé et je préconise de rajouter dans les conditions de vente (même si je sais que presque personnes lis les conditions de ventes), une règle précisant cette interdiction de collecte d’info.
Enfin, et pour revenir à l’autre discussion (comment connaitre la disponibilité d’une mise à jour d’un module installé), il me semble qu’une évolution du dolistore rendant disponible cette information au niveau d’une api serait un vrai plus à la fois pour les utilisateurs de nos modules mais aussi pour les développeur.se.s qui ne seraient pas obligé.e.s d’en arriver à de telles astuces pour alerter leurs clients des mises à jours de nos modules.
Bonjour à tous,
L’extension Firefox « Disconnect » peut permettre de voir où vont les connexions externes (s’il y en a) de Dolibarr. Il suffit de n’ouvrir QUE Dolibarr et travailler un moment pour voir s’il y aura des déclencheurs.
Vous pourrez obtenir la liste ou la carte. Par contre il n’est pas possible de savoir quel code « fuite ».
Solution basique et accessible à tous.
Une mention sur les modules du Store serait la bienvenue. Savoir vers où (y compris le pays) il y a communication, pourquoi et quelles données. C’est même impératif pour toute entreprise intéressée par le RGPD.
@+
?
